DELIBERATION n°2013-144 du 30 mai 2013

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2013-144 du 30 mai 2013
Délibération n° 2013-144 du 30 mai 2013 autorisant la société ERDF à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des pertes d’électricité
Etat: VIGUEUR

Délibération n° 2013-144 du 30 mai 2013 autorisant la société ERDF à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des pertes d’électricité
(Demande d’autorisation n° 1630704)
La Commission nationale de l’informatique et des libertés,
Saisie par la société ERDF d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des pertes d’électricité ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 29 et 29-1 ;
Vu le code pénal, notamment ses articles 311-2, 322-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 9-1° et 25-I°3 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations ;
Formule les observations suivantes :

Sur le responsable du traitement
Le responsable de traitement est la société Electricité Réseau Distribution France (ERDF), qui, par délégation de service public, gère le réseau public d’électricité d’une grande partie du territoire français.
Sur la finalité
La société ERDF souhaite mettre en œuvre l’application PETRA, qui a pour finalité l’analyse et la gestion des pertes d’électricité.
Par conséquence, ce traitement doit permettre à ERDF d’assurer :
  • la gestion des dysfonctionnements des appareils de mesure de consommation d’électricité ;
  • la gestion des infractions constatées par des gardes particuliers assermentés sur le réseau de distribution d’électricité d’ERDF (soustraction frauduleuse d’énergie au préjudice d’autrui, destruction, dégradation et détérioration de biens appartenant à autrui) ;
  • le recouvrement amiable auprès des utilisateurs du réseau de distribution d’électricité sans fournisseur.
La Commission estime que la finalité poursuivie est déterminée, légitime et explicite.
Aux termes de l’article 9-1° de la loi du 6 janvier 1978 modifiée, peuvent mettre en œuvre des traitements de données relatives aux infractions, condamnations et mesures de sûreté « les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ».
Dans ce contexte, la Commission considère qu’il y a lieu de faire application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements de données relatives aux infractions, condamnations et mesures de sûreté.
Sur les données traitées
S’agissant des utilisateurs du réseau de distribution d’électricité, sont collectées les données d’identification, les données relatives à la situation du compteur, les données relatives aux anomalies constatées (dont les infractions), ainsi que les données contractuelles (dont la puissance souscrite et le tarif).
S’agissant des gardes assermentés d’ERDF, sont collectées les données d’identification, les données relatives à la vie professionnelle et à l’assermentation (tribunaux devant lesquels les agents ont prêté serment, date de l’audience, date de l’arrêté de la préfecture ayant nommé l’agent, date de fin de l’assermentation).
S’agissant des salariés habilités à accéder à l’application, sont collectées les données d’identification, les données relatives à la vie professionnelle (fonctions et territoires d’action) et les données de connexion.
La Commission considère que ces données sont pertinentes au regard de la finalité poursuivie.
Sur les destinataires
Les destinataires des données sont les personnes habilitées suivantes :
  • les agents assermentés d’ERDF, ainsi que leurs supérieurs hiérarchiques ;
  • les gestionnaires d’ERDF ayant en charge la gestion des dysfonctionnements et des fraudes, ainsi que leurs supérieurs hiérarchiques ;
  • les agents des fonctions centrales en charge de l'activité "Pertes Non Techniques" (PNT) ;
  • les agents de la Direction des Systèmes d’Information d’ERDF pour les seules données de connexion.
En cas d’infraction commise par un client, une procédure de recouvrement amiable est initiée et le fournisseur d’électricité est alors également destinataire des données, à l’exception de la copie du procès-verbal. Ce procès-verbal est en revanche envoyé au Procureur de la République.
Ces destinataires n’appellent pas d’observation de la part de la Commission.
Sur l’information et le droit d’accès
Les utilisateurs du réseau de distribution d’électricité sont informés, dans les conditions prévues à l’article 32 de la loi du 6 janvier 1978 modifiée, par l’envoi d’un courrier.
Les agents d’ERDF sont informés par un message dans l’application PETRA.
Les droits d’accès et de rectification s’exercent auprès du service SNUR de la société ERDF, tour Winterthur, 102, terrasse Boieldieu – 92085 PARIS LA DEFENSE Cedex.

La Commission estime que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur les mesures de sécurité
Le responsable de traitement a mis en place une politique de mot de passe qui exige que ceux-ci aient une longueur minimale de 8 caractères, et qu’ils contiennent au moins un chiffre, une minuscule et un caractère spécial.
Des profils d'habilitation sont prévus afin de gérer les accès aux données autant que de besoin.
Des sauvegardes journalières sont réalisées et les interventions de maintenance font l'objet d'une traçabilité.
Une journalisation des opérations de consultation, création et modification du traitement est réalisée. Ces journaux sont conservés pendant 6 mois.
L'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Tous les échanges de données ont lieu sur un réseau privé géré par le déclarant, ce qui garantit la sécurité des données ainsi échangées.
Les autres mesures de sécurité mises en place n’appellent pas d’observations de la part de la Commission.
Sur les autres caractéristiques du traitement
Les données des utilisateurs du réseau de distribution d’électricité sont conservées pendant 3 ans en base active et deux ans supplémentaires en base archives. Les données contenues dans des dossiers relatifs à des infractions sont, quant à elles, conservées pour une durée maximale de 3 ans à compter de la date du PV de l’agent assermenté (ce qui correspond à la prescription en matière délictuelle) ou jusqu’à la fin de la procédure judiciaire, en cas d’engagement des poursuites.
Les données relatives aux agents assermentés sont conservées jusqu’à la clôture des dossiers concernés.
Les données des salariés habilités à accéder à l’application sont conservées le temps de l’habilitation. Les données de connexion de ces salariés sont, quant à elles, conservées pour une durée de six mois.
La Commission estime que ces durées de conservation sont pertinentes au regard de la finalité poursuivie par le traitement.

Autorise, conformément à la présente délibération, Electricité Réseau Distribution France (ERDF) à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 6 juillet 2013